于 濤 河南省平頂山市衛(wèi)生學(xué)校 467001

計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)

于 濤 河南省平頂山市衛(wèi)生學(xué)校 467001

當(dāng)今信息技術(shù)發(fā)展迅速，計(jì)算機(jī)網(wǎng)絡(luò)作為資源共享和通信聯(lián)絡(luò)得到了普及。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)越來越龐大及復(fù)雜，接觸網(wǎng)絡(luò)的人也越來越多，保護(hù)網(wǎng)絡(luò)資源免受侵犯就變得越來越重要。在這樣的背景之下，計(jì)算機(jī)網(wǎng)絡(luò)的安全問題逐漸成為了整個(gè)社會關(guān)注的一個(gè)熱點(diǎn)。說起網(wǎng)絡(luò)安全，首先自然要說到網(wǎng)絡(luò)攻擊。本文從網(wǎng)絡(luò)攻擊的類型和范圍入手，對計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)進(jìn)行相關(guān)的分析。

計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；防御方式

目前，人類社會已經(jīng)邁入了網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)和互聯(lián)網(wǎng)已經(jīng)與老百姓的日常工作、學(xué)習(xí)和生活息息相關(guān)?？梢哉f，計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)徹底地顛覆了傳統(tǒng)的人類生活方式，軍事、旅行、購物、金融、商業(yè)等等越來越多的行業(yè)也開始將網(wǎng)絡(luò)作為自身發(fā)展的利器，計(jì)算機(jī)網(wǎng)絡(luò)給整個(gè)人類社會帶來了一場史無前例的變革。

另一方面，計(jì)算機(jī)網(wǎng)絡(luò)也帶來了另一日漸嚴(yán)重的社會問題——網(wǎng)絡(luò)安全。由于計(jì)算機(jī)的基礎(chǔ)技術(shù)支撐環(huán)境具有開放性和跨時(shí)空性的特點(diǎn)，其面臨的技術(shù)風(fēng)險(xiǎn)更加突出。這些風(fēng)險(xiǎn)如果不加以嚴(yán)格防范和管理，極有可能引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全問題，甚至?xí)?jīng)濟(jì)、金融安全造成較大的威脅。近年來，網(wǎng)絡(luò)犯罪率不斷攀升，通過網(wǎng)絡(luò)攻擊盜取密碼、獲取機(jī)密信息、破壞數(shù)據(jù)庫、實(shí)施詐騙等行為屢有發(fā)生。中國的互聯(lián)網(wǎng)安全官員日前指出，中國已成為網(wǎng)絡(luò)攻擊最大的受害國之一，中國的計(jì)算機(jī)網(wǎng)絡(luò)幾乎每時(shí)每刻都在遭受各種攻擊。如何防御網(wǎng)絡(luò)攻擊，提高我們計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)水平就變得日益重要。

1.計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

2.網(wǎng)絡(luò)攻擊的概念

網(wǎng)絡(luò)攻擊是利用信息系統(tǒng)自身存在的安全漏洞，進(jìn)入對方網(wǎng)絡(luò)系統(tǒng)或者是摧毀其硬件設(shè)施。其目的就是破壞網(wǎng)絡(luò)安全的各項(xiàng)指標(biāo)，破壞擾亂對方信息系統(tǒng)的正常運(yùn)行，致使對方計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)崩潰、實(shí)效或錯(cuò)誤工作。

3.網(wǎng)絡(luò)攻擊的主要類型

網(wǎng)絡(luò)的技術(shù)是全開放的，使得網(wǎng)絡(luò)所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。

3.1 借助系統(tǒng)命令進(jìn)行攻擊

很多攻擊我們在日常都有接觸，最為簡單的，比如早期通過“Ping”命令來執(zhí)行攻擊，方法利用了早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)的情況，利用內(nèi)存分配錯(cuò)誤的漏洞點(diǎn)，來發(fā)動(dòng)攻擊。不過這一攻擊方法，現(xiàn)在已很少有人使用，因?yàn)槟壳白顬楹唵蔚姆阑饓浖?，也都可以對這類攻擊做出攔截。

3.2 通過“IP欺騙”發(fā)起攻擊

IP欺騙攻擊發(fā)生在這樣一種情況下。網(wǎng)絡(luò)外部的攻擊者假冒受信主機(jī)，通過偽裝成當(dāng)前內(nèi)外范圍內(nèi)的IP地址信息，或是遠(yuǎn)程中，看似為信任區(qū)域的主機(jī)，比如從IP地址來看，甚至你會認(rèn)為那只是你鄰居、對門、室友的計(jì)算機(jī)、或者是你在公司、學(xué)校的服務(wù)器等等。而一旦騙取用戶的信任，黑客就會把數(shù)據(jù)或命令注入客戶服務(wù)應(yīng)用之間或?qū)Φ染W(wǎng)絡(luò)連接傳送中已存在的數(shù)據(jù)流中，而當(dāng)防火墻也無法辨別或無法做出判斷時(shí)，那么此時(shí)攻擊就會自動(dòng)發(fā)起。一旦黑客成功侵入系統(tǒng)會立即創(chuàng)建管理賬戶并植入木馬程序。

3.3 “破解密碼”來實(shí)施攻擊

破解密碼，如同破解電報(bào)信息一樣，并不容易但或有技巧。黑客們利用一些所謂的“密碼詞典”等程序，來試圖強(qiáng)行計(jì)算出原創(chuàng)計(jì)算機(jī)登錄密碼，特別是當(dāng)反復(fù)試探，甚至上千、上萬次試驗(yàn)后，真的出現(xiàn)破解到密碼的情況，那么便會在用戶尚未察覺，防火墻又無法發(fā)揮效果的情況下，立即登錄計(jì)算機(jī)，并創(chuàng)建管理員賬戶，同時(shí)快速植入木馬程序，而即使用戶發(fā)現(xiàn)了這一情況，程序已然植入到系統(tǒng)當(dāng)中。

3.4 “拒絕服務(wù)”欺騙式攻擊

和其他的攻擊方式不同，拒絕服務(wù)攻擊是因?yàn)樗麄儾皇且垣@得網(wǎng)絡(luò)或網(wǎng)絡(luò)上信息的訪問權(quán)為目的。攻擊主要是使服務(wù)不能為正常的使用提供服務(wù)。通?？梢杂煤谋M網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序有限的資源來實(shí)現(xiàn)。特別是當(dāng)其涉及特殊的網(wǎng)絡(luò)服務(wù)應(yīng)用，像HTTP或FTP服務(wù)，攻擊者能夠獲得并保持所有服務(wù)器支持的有用連接，有效地把服務(wù)器或服務(wù)的真正使用者關(guān)在外面。拒絕訪問攻擊也能用普通的Internet協(xié)議實(shí)現(xiàn)，像TCP和ICMP漏洞等，通過系統(tǒng)的缺陷發(fā)起攻擊。

3.5 通過系統(tǒng)“應(yīng)用層”攻擊

應(yīng)用層攻擊能夠使用多種不同的方法實(shí)現(xiàn)。如使用服務(wù)器上通?？烧业杰浖囊阎毕荩ㄟ^使用這些缺陷，攻擊者能夠獲得計(jì)算機(jī)的訪問權(quán)，該計(jì)算機(jī)上有運(yùn)行應(yīng)用程序所需賬戶的許可權(quán)，一旦獲取，同樣會立即創(chuàng)建管理員賬戶，并快速植入木馬程序。而盡管現(xiàn)在包括微軟等對軟件程序、硬件驅(qū)動(dòng)程序都進(jìn)行了認(rèn)證處理，但由于目前技術(shù)方面仍然存在弱點(diǎn)，導(dǎo)致仍會有大量黑客通過此方法對系統(tǒng)進(jìn)行攻擊，而且大多會取得成功。

4.網(wǎng)絡(luò)攻擊的防御方式

4.1 建立完整的保護(hù)系統(tǒng)

這方面主要是要求我們從網(wǎng)絡(luò)使用的各個(gè)環(huán)節(jié)入手，在每一個(gè)環(huán)節(jié)都考慮并建立相關(guān)的安全措施，使得網(wǎng)絡(luò)成為一個(gè)有機(jī)的安全整體，不容易從某一薄弱環(huán)節(jié)或忽略環(huán)節(jié)被攻破。

（1）在保護(hù)措施方面，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的邊界需要建立防火墻體系，該體系包括路由器和硬件防火墻，在保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)吞吐性能的同時(shí)關(guān)閉F I P、TELNET等易被用來攻擊系統(tǒng)的網(wǎng)絡(luò)服務(wù)，采用高安全級別的主要系統(tǒng)的核心保護(hù)功能。

（2）在監(jiān)測方面，要在計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)關(guān)鍵位置和關(guān)鍵服務(wù)器中布置入侵監(jiān)控系統(tǒng)，隨時(shí)監(jiān)控對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的非法訪問和攻擊企圖。

（3）在信息傳輸方面，結(jié)合身份認(rèn)證技術(shù)、數(shù)字加密技術(shù)、數(shù)字簽名等技術(shù)，確保數(shù)字信息在傳遞過程中的真實(shí)性、機(jī)密性、有效性、完整性。

4.2 廣泛應(yīng)用數(shù)據(jù)加密技術(shù)

應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證。加密技術(shù)的基本原理是通過加密算法，把數(shù)據(jù)明文轉(zhuǎn)變?yōu)橐唤M失去真實(shí)意義的密文，在使用數(shù)據(jù)時(shí)通過對應(yīng)的解密算法把密文轉(zhuǎn)變?yōu)榇砥湔鎸?shí)意思的數(shù)據(jù)明文。密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

4.3 安全檢測技術(shù)

常見的計(jì)算機(jī)網(wǎng)絡(luò)檢測技術(shù)主要有以下幾種：

（1）網(wǎng)絡(luò)安全檢測。網(wǎng)絡(luò)安全檢測主要用來對訪問者進(jìn)行監(jiān)督控制，一旦發(fā)現(xiàn)有異常情況，馬上采取應(yīng)對措施，防止非法入侵進(jìn)一步攻擊。

（2）端口安全檢測。通過端口的安全檢測可以發(fā)現(xiàn)被非法利用的端口，采取必要措施禁止這些可能被入侵的端口。

（3）漏洞掃描。漏洞掃描技術(shù)利用專業(yè)軟件對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞排查，通過模擬攻擊測試和評價(jià)系統(tǒng)的安全性和防御能力，及時(shí)發(fā)現(xiàn)漏洞，并采取必要措施修補(bǔ)漏洞。

（4）建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴(yán)格做好開機(jī)查毒，及時(shí)備份數(shù)據(jù)，這是一種簡單有效的方法。

（5）研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。

5.結(jié)論

網(wǎng)絡(luò)安全是一個(gè)綜合的、復(fù)雜的工程，任何網(wǎng)絡(luò)安全措施都不能保證萬無一失。只有更全面的了解網(wǎng)絡(luò)攻擊的方式方法，才能更加清楚地知道如何進(jìn)行網(wǎng)絡(luò)安全防御，從整體上提高我們計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)水平。

[1]鄭顯舉.D D O S攻擊分析和防御方法.成都電子科技大學(xué).2007

[2]張瑋.網(wǎng)絡(luò)攻擊防范技術(shù)研究與實(shí)現(xiàn).重慶大學(xué).2007

[3]俞承杭.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)[M].北京：機(jī)械工業(yè)出版社.2008

10.3969/j.issn.1001-8972.2011.19.041